Форум абонентов МТС

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Форум абонентов МТС » Обсуждаем Билайн » Подписки и Билайн


Подписки и Билайн

Сообщений 1 страница 17 из 17

1

Переезд «Билайна» на новую ИТ-систему «подарил» мобильным мошеникам свежую уязвимость

21.09.2015, ПН, 10:11, Мск, Текст: Игорь Королев

Из-за переезда на новую ИТ-систему в контент-платформе «Билайна» появилась уязвимость, которая позволяет активировать пользователю платную подписку при просмотре сайтов с мобильных устройств без его согласия. Уязвимостью воспользовались злоумышленники, создавшие сайт-подделку для просмотра порно-роликов с YouTube.

Новая схема мобильных мошенников

CNews обнаружил уязвимость в контент-сервисах сотового оператора «Вымпелком» (торговая марка «Билайн»), благодаря которой создатели недобросовестных веб-сайтов могут подключить абонентам оператора платные подписки без их согласия.

Речь идет о технологии MSISDN («Wap-клик»): которая позволяет подключить в один клик подписку, определив номер мобильного телефона, с которого пользователь зашел на сайт.

В обычном режиме оператор перед активацией такой подписки выводит специальную страницу – landing page: на ней оператор выводит информацию о цене подписки и кнопку, при нажатии которой подписка активируется. Однако уязвимость в системе «Вымпелкома» привела к тому, что мобильные мошенники научились обходить это требование.

Став жертвой уязвимости можно, просто заходя с мобильного телефона на различные сайты, обещающие «бесплатный просмотр порно». Такие сайты содержат ссылки на различные видеоролики соответствующей тематики. Большинство из этих роликов ведут на известные порноресурсы, например, Pornohub и Redtube.

В ряде случае сайт, обнаруживая, что его посетитель зашел с мобильного устройства, переводит его на ресурсы с платными подписками, перед активацией которых должна демонстрироваться landing page. Правда, оператор разрешает владельцам сайтов разрешено создавать кастомизированные варианты таких страниц, при показе которых пользователь может не заметить, что он подключается на платную услугу.

Несуществующий порно-YouTube

Но в некоторых же случаях происходит настоящее мошенничество. Как обнаружил корреспондент CNews, пользователь после череды переадресаций по непонятным ресурсам, видит картинку с сайта youtube-mobile.com.

На первый взгляд можно подумать, что это мобильная версия известного видео-хостинга YouTube, однако этот ресурс к YouTube не имеет отношения: при попытке зайти на него со стационарного компьютера (или с мобильного телефона через Wi-Fi-сеть), страница переадресует пользователя на «Яндекс» - прямого конкурента Google (владелец YouTube).

Картинка, которую видит пользователь на youtube-mobile.com, имитирует привычную картинку с видеороликом с YouTube: в частности, в центре страницы находится кнопка “play”. При нажатии на нее пользователь переходит на ролик с настоящего сервиса YouTube (либо у него открывается соответствующее мобильное приложение).

Одновременно у пользователя активируется платная подписка. Так, у корреспондента CNews активировалась подписка стоимостью 20 руб. в день с короткого номера «8371», которым управляет контент-провайдер «Адвиатор Медиа». Узнать о факте подключения такой подписки удалось только благодаря соответствующему SMS-сообщению. Если пользователь не осуществит действия по отключению подписки, то денежные средства будут с него сниматься каждый день.

Примечательно, что порноролика, который анонсировался на первоначальном ресурсе, пользователь не увидит. Вместо этого ему будет продемонстрирован какой-нибудь нейтральный ролик с YouTube, например, из репертуара Comedy Club.

Технология iFrame

Как рассказывает CNews источник на рынке мобильного контента, эта мошшеническая технология называется IFrame. Страница домена youtube-mobile.com, маскирующая под ролик YouTube, в реальности никакого ролика не содержит. На ней странице открывается landing page от «Вымпелкома», однако пользователь ее не видит, так как она закрыта псевдоизображением ролика. Кнопка же «play» является кнопкой активации подписки: то есть оператор полагает, что его абонент согласился на подключение подписки.

«Билайн» уже принял меры В «Вымпелкоме» признали, что проблема действительно есть: она связана с тем, что сейчас модуль для работы с короткими номерами всех контент-провайдеров порциями переводится на новую ИТ-платформу. «На этой платформе мы обнаружили уязвимость с IFrame, - говорит представитель «Вымпелкома» Анна Айбашева. - Как устранять уязвимость, мы уже разобрались, настройки будут закончены 23 сентября».

Пока новые настройки еще не заработали, «Вымпелком» последовательно настраивает на коротких номерах с данной технологией дополнительное подтверждение - SMS link: пользователю высылается SMS-сообщение со ссылкой, на которую нужно пройти для активации подписки. «На части номеров эта защита уже встала, на остальных активируются в ближайшие несколько дней», - говорят в компании.

http://m.cnews.ru/news/top/2015-09-21_p … mu_podaril

2

существует ли в билайне что то типа "запрета контента"? и если да, то как работает?

3

Сейчас существует контентеый счёт, подключают просто по USSD, если не ошибаюсь.

4

Сейчас есть только Отдельный счет для контента и его вариация с автополнением. Всё.

5

Rotor написал(а):

Сейчас существует контентеый счёт, подключают просто по USSD, если не ошибаюсь.


я немного не это имею ввиду.

Допустим, я подключился к билайн (к примеру, на ТП все за 500). Естественно, я буду пользоваться интернетом.

Есть ли хоть какие то гарантии (опции), что у меня не будет лишних препирательств со службой поддержки?...

6

_Alexander_ написал(а):

Сейчас есть только Отдельный счет для контента и его вариация с автополнением. Всё.


т.е. если у абонента не открыт этот счет, то никакого платного контента ему не втюхают, так?

7

У меня подключен контентный счёт (называется почему-то "дополнителный баланс"), вот, при случае, и проверим :)

На будущее, что бы потом не искать:

Команда для подключения дополнительного баланса без автопополнения - *110*5062# (запрос бесплатный).
Подключение дополнительного баланса с автопополнением возможно через Личный кабинет.
Пополнение баланса дополнительного баланса возможно через терминалы оплаты.
Проверка баланса отдельного счета - *622#.
Команда перевода денежных средств с основного баланса на дополнительный - *220*{сумма}#.
Команда перевода денежных средств с дополнительного баланса  на основной - *222*{сумма}#.
Команда  для отключения дополнительного баланса - *110*5060# (запрос бесплатный).

http://spb.beeline.ru/customers/product … -nomerakh/

8

Rotor написал(а):

У меня подключен контентный счёт, вот, при случае, и проверим :)


хорошо... :-) буду ждать Ваших сообщений... :-)

9

simba написал(а):

т.е. если у абонента не открыт этот счет, то никакого платного контента ему не втюхают, так?


Не так. Если у абонента подключен такой счет и он нулевой, то может быть не втюхают. Надо смотреть.
В Мегафоне при нулевом контентном счете списания продолжаются с основного (вроде бы). Правда в Мегафоне практически весь контент собственный, поэтому изначально списывается с основного...

10

_Alexander_ написал(а):

Не так. Если у абонента подключен такой счет и он нулевой, то может быть не втюхают. Надо смотреть.


понятно, спасибо...:-)

т.е. отдельной опции, блокирующей все это безобразие, в билайне получается нет...

11

Раньше была, теперь нет.

12

Интересная инфа.

13

Rotor написал(а):

Интересная инфа.


Там, кстати, в качестве "другого оператора" используется Мегафон.
http://s7.uploads.ru/wUXpj.png

14

Петиция: Билайн, прекратите обманывать пенсионеров!

Читать полностью

Описание проблемы
Мой папа пенсионер и как все в наше время пользуется услугами сотовых операторов. Является абонентом компании Билайн уже более 10 лет. И тут получил неожиданный "подарок". Находился он в больнице , после операции и пришла ему смс от оператора. Без очков прочитать не смог, а потом и забыл про нее. Смс гласила, что он активировал подписку на номере каком то 4 х значном, где плата взымается по 30 р. в день. А для отключения нужно отправить смс на номер . Все знают, что спам мошенников приходит, которые тоже просят отправлять смс на номера, где снимаются деньги. И даже если бы он вник в то сообщение, он никуда бы смс не отправил. И снялось у пенсионера за портал развлечений 700р. Звонит операторам, а они ему говорят ,что это не они, а кто то другой подключил, но почему то доступ к финансам, которые мой отец платит Билайну за услуги связи, становятся доступными, для иных порталов. На вопрос как, вразумительного ответа нет. Для того, чтобы ему отключить надо было, зайти в личный кабинет, найти развлечения и там все самостоятельно отключить. Почему Билайн решил, что каждый дедушка и бабушка, должны иметь компьютер или телефон с доступом в интернет. Что они должны уметь пользоваться этим. Все что предлагалось для решения этой проблемы, не доступно для пенсионеров!!! У меня отец после операции на сердце. Телефон у него единственное средство связи, позвонить в скорую или детям, чтобы пришли на помощь, а Билайн распоряжается его финансами и сняв последние 30 р. Моя бабушка вообще никогда не читает смс, у нее кнопочный телефон, только для связи с детьми. Как она должна будет решить эту проблему? Когда из пенсии в 10 тыс, у них снимают, 900 в месяц за игровые порталы. И когда снимут последние деньги, можешь уже не услышать родного голоса, потому что она не смогла позвонить, а ты просто не успел. Спасибо Билайн!!!!

Решение
Обезопасить ваших абонентов от таких подписок и подключений. Предупредить эти ситуации и помочь в них разобраться доступными способами. Вернуть списанные средства

Источник

15

На том сайте что, личные данные дверчивы лопухов собирают? Или тама анонимное голосование?

16

Rotor написал(а):

Петиция: Билайн, прекратите обманывать пенсионеров!

Уже 70 тысяч подписало петицию!

Это хорошо! Чем больше будет недовольных, тем лучше!

17

"Билайн, я был о тебе лучшего мнения(("

https://pikabu.ru/story/bilayn_ya_byil_ … ya_6841860


Вы здесь » Форум абонентов МТС » Обсуждаем Билайн » Подписки и Билайн